ต้องมี DPO (Data Protection Officer) ไหม?
ต้องมี DPO (Data Protection Officer) ไหม? [คำตอบชัด พร้อมเกณฑ์ตาม PDPA
ภายใต้กฎหมาย PDPA – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางองค์กรมี “หน้าที่ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือที่เรียกว่า DPO (Data Protection Officer) เพื่อดูแลให้การจัดการข้อมูลเป็นไปตามกฎหมาย
แต่ไม่ใช่ทุกองค์กรจำเป็นต้องมี DPO บทความนี้จะอธิบายว่า องค์กรแบบใดบ้างที่ “ต้องมี” DPO และองค์กรแบบใดบ้างที่ “ไม่จำเป็นต้องมี”
DPO คือใคร?
DPO (Data Protection Officer) คือบุคคลหรือหน่วยงานที่องค์กรแต่งตั้งขึ้นเพื่อ:
ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล
ตรวจสอบการปฏิบัติตาม PDPA ภายในองค์กร
เป็นจุดติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
เป็นตัวกลางประสานงานกับเจ้าของข้อมูลหากมีการร้องเรียน
องค์กรแบบใดบ้างที่ “ต้องมี” DPO ตาม PDPA?
ตามกฎหมาย PDPA มาตรา 41 กำหนดให้องค์กรต้องแต่งตั้ง DPO หากเข้าเกณฑ์ใดเกณฑ์หนึ่ง ดังนี้:
1. องค์กรภาครัฐ
หน่วยงานราชการ รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น ฯลฯ
ต้องมี DPO โดยอัตโนมัติ
2. องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมากเป็นประจำ (Mass Processing)
เช่น:
ธนาคาร / โรงพยาบาล / โรงแรมขนาดใหญ่
บริษัท E-commerce หรือ SaaS (Software as a Service) ที่มีลูกค้านับพัน
บริษัทที่ใช้ระบบ CRM ที่เก็บข้อมูลลูกค้าแบบต่อเนื่อง
ไม่จำเป็นต้องเป็นองค์กรใหญ่ แต่อยู่ที่ “ปริมาณ” และ “ความถี่”
3. องค์กรที่ประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) เป็นหลัก
เช่น:
คลินิก / โรงพยาบาล / แอปสุขภาพ
สถานศึกษา (ที่เก็บข้อมูลศาสนา / ความพิการ)
ระบบของ HR ที่เก็บข้อมูลสุขภาพพนักงาน
ข้อมูลอ่อนไหวตาม PDPA เช่น สุขภาพ, ศาสนา, ชีวภาพ, ความคิดเห็นทางการเมือง ฯลฯ
องค์กรแบบใดบ้างที่ “ไม่จำเป็นต้องมี” DPO?
ร้านค้าออนไลน์ขนาดเล็กที่เก็บแค่ชื่อ-เบอร์ลูกค้า
ฟรีแลนซ์ / Blogger ที่มีฟอร์มการติดต่อเบื้องต้น
เว็บไซต์ที่มีแบบฟอร์มสมัครสมาชิกทั่วไป
บริษัทขนาดเล็กที่ไม่ได้เก็บข้อมูลอ่อนไหวหรือประมวลผลจำนวนมาก
DPO ต้องมีคุณสมบัติแบบไหน?
มีความรู้ด้านกฎหมาย PDPA และการคุ้มครองข้อมูล
เข้าใจเทคโนโลยีการจัดเก็บและรักษาความปลอดภัยข้อมูล
สามารถทำงานได้อย่างอิสระ (ไม่อยู่ในผลประโยชน์ขัดแย้งกับองค์กร)
องค์กรสามารถแต่งตั้ง:
พนักงานภายในที่ผ่านการอบรม PDPA
หรือจ้างบริษัทภายนอกทำหน้าที่เป็น DPO แบบ Outsource ก็ได้
สรุป: ต้องมี DPO ไหม?
| สถานะองค์กร | ต้องมี DPO? | หมายเหตุ |
|---|---|---|
| หน่วยงานภาครัฐ | | บังคับตามกฎหมาย |
| เก็บข้อมูลลูกค้าจำนวนมาก | | แม้เป็นเอกชน |
| เก็บข้อมูลสุขภาพ/ศาสนา | | เป็นข้อมูลอ่อนไหว |
| ร้านค้าออนไลน์ทั่วไป | | หากเก็บข้อมูลน้อยและไม่อ่อนไหว |
| เว็บไซต์ที่มีแบบฟอร์มติดต่อ | | ถ้าไม่ได้วิเคราะห์เชิงลึกหรือแชร์ข้อมูล |